Human Risk Roundup: Cuando el navegador se convierte en cebo

En esta edición del Human Risk Roundup, exploramos cómo los atacantes se están adaptando a las defensas técnicas endurecidas cambiando su enfoque hacia el comportamiento humano. Una nueva técnica de phishing apodada FileFix 2.0 demuestra cómo algo tan ordinario como guardar un archivo en el navegador puede manipularse para instalar malware, sin necesidad de una cadena de exploits. Además, los operadores de ransomware están redoblando la apuesta por objetivos de alto valor y datos personales sensibles para maximizar el impacto. Y los nuevos datos revelan una tendencia más amplia: a medida que los navegadores se vuelven más difíciles de explotar directamente, los atacantes los utilizan cada vez más como vía para manipular a los usuarios. Siga leyendo para conocer las últimas tácticas y lo que los responsables de seguridad deben saber para gestionar el riesgo humano. 

FileFix 2.0: Una nueva táctica de phishing explota el comportamiento del navegador 

Un vector de ataque de phishing recién descubierto, bautizado como FileFix 2.0 por el investigador de seguridad mr.d0x, manipula la forma en que los navegadores modernos guardan los archivos HTML para eludir los principales mecanismos de seguridad y engañar a los usuarios para que descarguen contenidos maliciosos. Esta técnica se basa en el método ClickFix previamente conocido, que utiliza la ingeniería social para explotar la confianza del usuario y el comportamiento del navegador, permitiendo a los atacantes entregar malware a través de ataques de phishing con un solo clic. 

¿Qué ocurre? 

Los ciberdelincuentes crean sitios web falsos que imitan plataformas de confianza como Google o Microsoft, con instrucciones realistas y códigos numerados para generar confianza. Estos sitios animan a los usuarios a guardar los "códigos de copia de seguridad" en sus dispositivos utilizando "Ctrl+S" y a nombrar el archivo con una extensión ".hta". 

Pensando que están almacenando de forma segura información de seguridad importante, los usuarios descargan sin saberlo un archivo malicioso capaz de ejecutar comandos dañinos en sus ordenadores. Para que el archivo parezca legítimo, los atacantes manipulan su nombre u ocultan detalles críticos, como la extensión del archivo, para evitar levantar sospechas. 

Este ataque también se aprovecha de una peculiaridad del navegador que se salta una característica clave de seguridad de Windows llamada Marca de la Web (MOTW). Sin esta salvaguarda, el archivo malicioso puede ejecutarse sin activar advertencias, lo que lo hace parecer seguro tanto para los usuarios como para los sistemas de seguridad. 

Por qué es importante 

Este ataque pone de relieve cómo los atacantes están explotando los comportamientos de los navegadores y la confianza de los usuarios para eludir los mecanismos de seguridad tradicionales. Aprovechando la ausencia de metadatos MoTW y manipulando las extensiones de los archivos, los atacantes pueden distribuir malware sin activar las advertencias de seguridad estándar. 

El método FileFix 2.0 es especialmente peligroso porque combina la evasión técnica con la ingeniería social, lo que dificulta su detección tanto por los usuarios como por las defensas automatizadas. El potencial de explotación generalizada en entornos de consumidores y empresas subraya la necesidad de defensas proactivas. 

Consejos prácticos para los responsables de seguridad 

Utilice las herramientas de seguridad del correo electrónico y la web para bloquear los archivos adjuntos maliciosos, escanear los enlaces y eliminar el contenido dañino para detener las amenazas de phishing y malware. 

Eduque a los usuarios con formación de concienciación para que aprendan a reconocer los intentos de phishing. 

Utilice la detección de amenazas para identificar y bloquear archivos o enlaces maliciosos antes de que lleguen a los usuarios. 

Supervise la actividad sospechosa en tiempo real para detectar y responder rápidamente a las campañas de phishing o malware. 

Lea más en Bleeping Computer.

El continuorepunte del ransomware revela un nuevo libro de jugadas

Los delincuentes están utilizando el ransomware como servicio (RaaS) para ampliar sus operaciones y atacar a más organizaciones para exigir dinero a cambio de datos como rehenes. Los recientes incidentes en los que se han visto implicados el Gobierno suizo y Optima Tax Relief también ponen de relieve cómo los malos actores se dirigen cada vez más a socios de terceros y a datos de gran valor para maximizar su impacto.  

¿Qué ha pasado? 

En Suiza, la banda de ransomware Sarcoma tuvo como objetivo Radix, una organización de terceros que gestiona programas de salud y servicios de asesoramiento en línea para el gobierno. Los atacantes robaron más de 1,3 terabytes de datos, incluidos registros financieros, contratos y comunicaciones, y los filtraron en la dark web después de que fracasaran las negociaciones para el rescate. Aunque los sistemas internos del gobierno suizo no fueron violados, plataformas como SafeZone y StopSmoking, que ofrecen asesoramiento anónimo, probablemente se vieron afectadas, lo que suscitó preocupación por la privacidad y la exposición de información personal sensible. 

Otro ataque reciente a Optima Tax Relief por parte del grupo de ransomware Chaos también provocó la pérdida de datos personales y corporativos. Este ataque se produce después de la presunta violación del Ejército de Salvación por parte de Chaos a principios de este año. Los informes señalan que tanto Sarcoma como Chaos emplean tácticas de doble extorsión, cifrando los sistemas al tiempo que amenazan con filtrar los datos robados para presionar a las víctimas a pagar. 

Por qué es importante 

Los incidentes ponen de relieve una evolución en las tácticas y los objetivos entre las bandas de ransomware. Grupos delictivos como Sarcoma y Chaos se están centrando en organizaciones que almacenan datos altamente sensibles, a menudo inmutables -como registros gubernamentales y archivos de asesoramiento personal-, lo que hace más eficaces los esfuerzos de extorsión. La doble extorsión se ha convertido en una práctica habitual, con la filtración pública de los datos robados para aumentar la presión sobre las víctimas. A menudo se utilizan tácticas de ingeniería social como punto de entrada inicial, explotando la confianza humana para obtener acceso y preparar el terreno para estos sofisticados ataques.  

Consejos prácticos para los responsables de seguridad  

• Utilice las herramientas de seguridad del correo electrónico y la web para bloquear los archivos adjuntos maliciosos, escanear los enlaces y eliminar el contenido dañino para detener las amenazas de phishing y malware. 

• Eduque a los usuarios con formación de concienciación para ayudarles a reconocer los intentos de phishing y evitar comportamientos de riesgo. 

• Utilice la reescritura y el escaneado de URL para analizar los enlaces en el momento de hacer clic y bloquear las URL maliciosas, incluso en los ataques con retraso o con límite de tiempo. 

• Active la protección antiphishing y contra la suplantación de identidad para identificar y bloquear los correos electrónicos que imitan a marcas o personas de confianza, reduciendo así el riesgo de ingeniería social. 

Lea más sobre los ataques aquí.

Lo que hay que vigilar: Los humanos sustituyen a los navegadores como nueva superficie de ataque 

Un nuevo informe revela que, si bien los exploits tradicionales del navegador están disminuyendo, los atacantes se dirigen cada vez más a los propios usuarios, convirtiendo el navegador en una plataforma de lanzamiento para el engaño. En 2024, el 70% de los ataques comenzaron con la descarga de un navegador, frente al 58% del año anterior. En lugar de explotar vulnerabilidades, los atacantes están secuestrando funciones legítimas del navegador, engañando a los usuarios para que instalen extensiones maliciosas o autoricen aplicaciones engañosas a través de plataformas de confianza como Google Chrome. Como informa Dark Reading, ya no se trata de romper el software; se trata de romper la confianza del usuario. Con el auge del trabajo a distancia y la dependencia de la nube, el usuario se ha convertido en la nueva superficie de ataque, por lo que es fundamental dar prioridad a la educación del usuario, la concienciación y las defensas proactivas para adelantarse a estas amenazas en evolución. La gestión del riesgo humano es ahora una piedra angular de la ciberseguridad, que se centra en equipar a los usuarios con los conocimientos y las herramientas para identificar y contrarrestar estas amenazas en evolución.

                                                             Lea la historia completa en Dark Reading.